トップ 　城の科学 　陰暦 　異表記外来語 　チェス 　和錠 　中国紀行 　ベトナム紀行 　インド紀行 　しごと 　便利帳 　リンク

情報セキュリティマネジメント A/B YeStudy

この授業では，大学の eラーニングシステム YeStudy を使って出席を確認したり，講師からの連絡をしたりします． スマフォに gmail アプリ をインストールしておくことを強く奨めます．

授業中は，ほかの人の迷惑にならない限り，何をしても構わない というのが私の受講者に対するポリシーです．

質問は YeStudy の Q&A で受け付けます．

授業で用いる資料と概説

予習として各項目を眺め，到達目標を読んでおくことを勧めます（{回数} は前年度，{回数'} は前々年度，{回数''} は前々々年度の授業進度例です）．欠席した場合にも，リンク先を読めば補えるでしょう．ただし，文章量が多いので，試験直前に全部を読むのは無理でしょう．授業中に，どこが重要か，どこに誤りがあるかを話します．

参照先の方々に： 利用させていただきありがとうございます．皆で似たような教材を作らず互いに利用しようというのが，教材についての私のポリシーです．私は，Wikipedia に書くことなどで貢献しているつもりです．私が作った教材でお役に立つものがあれば，自由にリンクなさってください．

Wikipedia 参照の適切性： 下記のリンク先には次第に Wikipedia の記事が多くなってきています．授業における Wikipedia 利用の適切性 を Wikipedia 上に書きました．

↓ 別ページが開く．

情報セキュリティ A

この色の枠の部分 の講義は簡単にしますが，試験範囲には入ります．きちんと自習してください．

授業はここまで

0. ガイダンス

0.0 履修順序（戦略デザインコース）

0.1 自己紹介； 　この Web ページへのたどり着き方

0.2 過去の授業評価， 知識の増加量， サンプル問題.pdf, 持込み

0.3 情報セキュリティ A の目標

• 情報セキュリティの CIA が説明できる．
• 近年発生している情報セキュリティ事故（インシデント）を知っていて，組織・個人としてどのような対策が有効かが説明できる．
• 政策として，どのような機関が情報セキュリティの推進をしているかを知っている．

0.4 参考書

• 『情報セキュリティ白書』IPA.
• 『情報セキュリティ読本』五訂版, IPA, 2018.
• 参考図書の紹介
  

0.5 情報セキュリティマネジメント試験, 試験区分, 過去問題

• 重要： IT パスポート試験 (IP)，基本情報技術者試験 (FE)，情報セキュリティマネジメント試験 (SG)．
• 2013 IT パスポート試験（情報セキュリティに関する出題の強化・拡充）
  
• 2016 国家試験「情報セキュリティマネジメント試験」の創設
  
• 2016 国家資格「情報処理安全確保支援士」の創設

0.6 シラバスの説明，成績評価の方法

• 定期試験：  0％
• 平常点： 100％（演習，小テスト，課題，課題授業など）

0.7 成績発表の方法， 抜き打ちテスト

0.8 事前知識アンケート A → YeStudy
2021 年度の 知識の増加量

0.9 昼食後に眠くならないようにするには {1} {1'} {1''}

到達目標： サンプル問題を見たことがあり，似た問題が出ることを知っている．情報処理技術者試験のどの分野の問題を参考にすればよいかを知っている． 授業の進行の概要と，成績評価の方法を知っている． 駒澤大学の学生データに対する教員の参照可能性を知っている．

1. 情報セキュリティリテラシー +

1.1 最近の話題となった事件

• 2011 標的型攻撃.pdf (p. 3, 4) +
  
• 2014 企業の内部不正による情報流出
  
• 2014 ベネッセ個人情報流出事件
  
• 2016 Android 端末の身代金要求ウイルス
  
• 2018 ビジネスメール詐欺 (BEC) + ++
• 2019 神奈川県の行政文書が大量流出 納税記録などの HDD 転売 +1 +2 +3
• 2019 エクアドルで 2000 万人分の個人情報が流出
  

1.2 簡単！やさしいセキュリティ教室

14.3 SSL/TLS； ホモグラフ攻撃 −

到達目標： 電子署名法があることを知っている． 信頼できるメールの確認方法を知っている． 電子署名つきメールの確認要件３点が言える． ブラウザに鍵マークが現れた状態が何かを知っている．SSL/TLS の用途を知っている． 信頼できない Web ページの見分け方を知っている． フィッシングが説明できる． スパイウェアの挙動と感染経路を知っている．

1.3 事例と対策

1.3.1 ランサムウェア（身代金要求）の流行

• 2015 日本でもランサムウェアの被害拡大 + Spora
• 2016 サンフランシスコの [地下鉄ハッキング事件]
• 2017 ランサムウエア WannaCrypt の被害拡大 +1 +2 → 北朝鮮の関与を断定

1.3.2 システム障害

• システム障害の一覧

1.3.3 情報の漏洩と紛失

• 個人情報漏洩事件・事故の一覧 ＋
• 2009 個人データ流出事件（三菱ＵＦＪ証券）
• 2010 個人データ盗難事件（三菱電機）
  
• 2012 クラウドのデータ消失 +
• 2013 Adobe に侵入，個人情報とソースコードが漏洩
• 2014 中古スマホから個人情報が再生可能
• 2014 ベネッセから 2070 万人分の個人情報が漏洩 +
• 2016 J-WAVE に侵入，個人情報が漏洩
• 2016 ロシアの SNS から１億個の平文パスワードが流出

1.3.4 国家間のサイバー戦争

• 2010 DDoS 攻撃 米韓に被害 ⇒ 対策 +
• 2010 アメリカがイラン核施設にサイバー攻撃 + Stuxnet
  
• 2013 サイバー攻撃 ？→韓国
• 2012 中国製シリコンチップにサイバー攻撃可能なバックドア？
• 2015 ロシアがウクライナに停電攻撃？ +
  
• 2016 ロシア情報機関員３５人を退去処分に　米、サイバー攻撃へ制裁措置
• 2017 北朝鮮が世界各地の銀行にサイバー攻撃

1.3.5 その他

興味のある人だけが読めばよい．

• 2009 プレデターからの情報漏洩
• 2011 災害情報を装ったウイルスメール
• 2013 国家安全保障局 (NSA) の通信傍受 + （スノーデンによる暴露 + ++）
• 2013 NSA、35カ国の首脳の通話を盗聴か +
• 2015 CIA 長官のメールアカウントを10代の高校生が乗っ取る
• 2015 「攻殻機動隊 S.A.C.」と新国家試験「情報セキュリティマネジメント試験」のコラボレーション
• 2022 上智大学　学内WEBサイトのサーバ停止について（Webサイト改ざん）

1.4 事例と対策についての議論

反転授業： 安心して対話するためのグランドルール

YeStudy のフォーラムでの議論（反転授業） {2} {2'} {2''}

到達目標： 個人情報漏洩事件・事故の例を見たことがあり，頻度の概数を知っている． 個人情報漏洩事件・事故の主要な原因を知っている． DDoS 攻撃の概要を知っている．

2. 情報セキュリティ

2.0 情報の資産価値： 情報の資産.pdf（p.34 まで）

2.1 セキュリティ

語源： secure (securely) → security ＝ 保安，保全． [2. ノート].pdf

2.2 情報セキュリティの定義と用語

定義： 情報セキュリティ … CIA の維持．

　　参考（比較）： コンピュータセキュリティ， ネットワークセキュリティ

課題 の一部：用語の説明 （課題授業） =

• 脆弱性： 推測しやすいパスワード （パスワード問題）；
  メール発信者の偽装可 [メールヘッダ (header) の読み方]，管理者の盗視可．
• 脅威： 災害，障害； 疫病； 破壊，盗難，盗聴，なりすまし，否認，不正アクセス，マルウェア，改ざん，踏み台，DDoS攻撃（ボットウイルス，F5攻撃），サイバーテロ，サイバー戦争； 紛失，誤操作，誤設定，漏洩； 部内者の不正，不正プログラムの埋込み．
  
  • 2023 情報セキュリティ 10 大脅威 (2022, 21, 20, 19, 18, 17, 16, 15, 14, 13, 12, 11, 10, 09)
• インシデント： 大学の学務情報システムを偽装したフィッシングサイト．
  
  • ハインリッヒの法則 … 皆さんの自動車運転も.
• 対抗策： 暗号化，電子署名，生体認証，電子署名（質問応答型）．
• 用語の定義（反転授業） {3} {3'} {3''}

到達目標： 情報は資産の一つであり，資産価値があることを知っている． 情報資産の例をいくつか挙げることができる． リスク，脆弱性，脅威，インシデント，対抗策の定義を述べ，例を挙げて説明できる． 情報セキュリティの３要素を挙げ，その内容が説明できる． DDoS 攻撃の概要が説明できる． ボットウイルスの概要を知っている． 電子メールの脆弱性を知っている．

2.3 機密性と可用性のトレードオフ

機密性(C) と可用性(A) とが相反する例：

• CAPTCHA, トークン.
  
• パスワードチェッカ： Secure Password Check +
• よく使われるパスワードの一覧
• 安全なパスワードの作り方 (leet), バックドア ＋

迷惑メール拒否・携帯編

2.4 パスワードへの攻撃

• 全体の説明
• 総当たり攻撃 …… パスワードの候補数 ＝ (文字の種類数)^文字数
  ＝ ブルート・フォース・アタック (Brute-force attack)
  
• コンピュータによる解読時間 + ++
• 辞書攻撃
• アカウントリスト攻撃
• 逆総当たり攻撃 （リバース・ブルートフォースアタック）
  2014 ANA と JAL の事例
• レインボー攻撃 + （パスワードをハッシュ値に変換して保管している場合）

2.5 Web サイトへの攻撃

• DoS 攻撃 - DDoS 攻撃
• クロスサイトスクリプティング
• インジェクション攻撃
  • SQL インジェクション 攻撃

2.6 リスク管理

• 対応方針： 回避，低減（＝軽減），共有（＝移転，転嫁），保有（＝受容）
  用語のずれ： 情報セキュリティの用語: JIS Q 27000 （＝リスク管理の用語: JIS Q 0073）
  
• 情報管理の手法： 物理的統制，技術的統制，人的統制，法的統制

2.7 歴史 −： 孫子（孫子に学ぶ情報セキュリティ）

情報セキュリティマネジメントシステム ISMS（7. で詳述）の 国際規格化 {4'} {4''}

2.8 脆弱性の公開 …… 公開か／非公開か

脆弱性情報データベース， ゼロデイ攻撃， Bugtraq
FeliCa は安全か — 脆弱性を見つけたらどうすべきか？ (脆弱性は公開すべきかの議論） 座席表 + {5'} {5''}

到達目標： 機密性と可用性のトレードオフを知っている． CAPTCHA の使用目的を知っている． パスワードに対する攻撃手法の概要を知っている． リスク管理の流れが説明できる． リスク管理の要素の概要が説明できる． リスク対応の４方針が説明できる． 情報管理の４手法を知っている． 世界と日本の情報セキュリティの歴史の概略を知っている． 脆弱性の公開についての経緯と現在の主流を知っている．

4. 組織の取組み

4.1 国の取組み

2003 国民のための情報セキュリティサイト（総務省）,
2003 @police（警視庁）,
2005 内閣サイバーセキュリティセンター (NISC)

1990 各種届出と対策（情報処理推進機構 IPA）

4.2 民間の取組み

1996 JPCERT/CC ∈ CSIRT
1998 プライバシーマーク制度（JIPDEC）
2002 ISMS 適合性評価制度（情報マネジメントシステム認定センター ISMS-AC）
2005 企業の情報セキュリティのあり方に関する提言（経団連）

4.3 各企業（組織）の取組み

− 情報セキュリティマネジメントシステム (ISMS) {7'}

4.4 国際規格 + +： ISO/IEC 27000 シリーズ

国際規格の戦略的な利用.pdf, EUの国際規格化戦略 {7''}

到達目標： 国と民間の情報セキュリティに取り組んでいる組織の概要を知っている． 情報セキュリティインシデントが発生したときの届け先を知っている． プライバシーマークの意味と，その取得のしかたを知っている． 情報セキュリティマネジメントシステム (ISMS) の存在と，適合性評価制度のしくみを知っている． 日付の表記の国際規格を知っている． 国際標準化機構が発行した ISO/IEC 27000 シリーズを知っている．

5. プライバシー

5.0 盗聴： Street View

5.1 情報漏洩の現状： 情報流出, 一覧

2018 JNSA インシデント調査報告書 (2017, 16, 15, 14, 13, 12, 11, 10, 09, 08, 07)

5.2 法制化の起源： 1980 OECD プライバシー8原則（図, 原文）, 個人情報

5.3 個人情報保護法 + ＜ EU-US プライバシーシールド + ＜ EU 指令 [5. ノート].pdf
個人情報保護法の詳細については，情報セキュリティ B で講義する．

5.4 個人情報の管理

本人の同意：（オプトアウト） Opt-out ＜ Opt-in
忘れられる権利（消去権） … スマイリーキクチ中傷被害事件
積極的プライバシー権

5.5 個人情報保護マネジメントシステム (PMS)

PMS, JIS Q 15001, JIPDEC, Pマーク の 関係 {8'} {8''}

到達目標： “積極的プライバシー権”の定義が説明できる． 情報漏洩事件・事故の多さを知っている． OECD のプライバシー 8 原則について，知見がある． 個人情報保護法における“個人情報”の定義が説明できる． 個人情報保護法，EU-US プライバシーシールド，EU 指令 の厳しさの違いを知っている． オプトアウト，オプトインについて，説明できる． 個人情報保護マネジメントシステムと，JIS Q 15001，プライバシーマーク の関係について説明できる．

6. 情報セキュリティポリシー (policy 語源)

6.1 最高情報セキュリティ責任者 (CISO), CIO, CSO

6.2 情報セキュリティポリシー（基本方針，対策基準），実施手順

ガイドライン（具体例）+ ++, PDCAサイクル
セキュリティポリシーの作成価格 （製作費＝数百万円 ＜ 数億円の損失）

6.3 社会的責任 (SR) からの要請

6.4 事業継続計画 (BCP) からの要請

ISO 22301 (BCMS) → JIS Q 22301（規格票） + +, ++ {9'} {9''}

到達目標： CISO が果たす役割が説明できる． 情報セキュリティポリシーの構成と内容が説明できる． 社会的責任 (SR) の概要と，関連する ISO を知っている． 事業継続マネジメント (BCM) と事業継続計画 (BCP)，および関連する ISO を知っている．

この仕組みは難しいので，注意して受講してください．

7. 情報セキュリティマネジメントシステム (ISMS) + ++

概要.pdf（『情報セキュリティ対策ベンチマーク活用集』IPA, 2005, 付録２, p. 91 = 8 / 34）：

P 確立（図付2.2） → D 導入・運用（図付2.6） → C 監視・レビュー（図付2.7） → A 維持・改善（図付2.8） → PDCA... 

国際的な ISMS の認証基準

(0) ISO/IEC 27000 "Information security management systems — Overview and vocabulary"

(1) ISO/IEC 27001 "Information security management systems — Requirements"

(2) ISO/IEC 27002 "Code of practice for information security controls"

(3) ISO/IEC 27006 "Requirements for bodies providing audit and certification of information security management systems"

日本での ISMS の認証基準　 日本産業規格 　↓（翻訳）

(0') JIS Q 27000 “情報セキュリティマネジメントシステム — 用語” （規格票）

(1') JIS Q 27001 “情報セキュリティマネジメントシステム — 要求事項” （規格票）

(2') JIS Q 27002 “情報セキュリティ管理策の実践のための規範” （規格票）

(3') JIS Q 27006 “情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項” （規格票）

(*) 用語 “力量 (competence)”：　意図した結果を達成するために，知識及び技能を適用する能力．(JIS Q 27000, 3.9) {10'} {10''}

日本産業規格／管理システム の一覧

(3') JIS Q 13335-1 “情報通信技術セキュリティのマネジメント — 第1部：情報通信技術のセキュリティマネジメントのための概念及びモデル”

セキュリティ技術 の一覧

(4') JIS X 5070-1 “セキュリティ技術 — 情報技術セキュリティの評価基準”

到達目標： 情報セキュリティマネジメントシステムの概要が説明できる． PDCA の各過程で具体的に何をすべきかを知っている． 各組織の ISMS と JIS Q 27001 との関係が説明できる．

8. 情報セキュリティ監査

8.2 情報セキュリティ監査： 制度, 監査人

日本セキュリティ監査人協会 (JASA)
監査証拠，時系列の証拠 ＝ 監査証跡

8.3 コンピュータ・フォレンシクス + (forensics +)

文書 → バックアップ，記録 → アーカイブ
文書管理システム, 記録管理システム +, 踏み台

資料： [8. ノート].pdf （担保する） {11'} {10''}

到達目標： 監査証拠と監査証跡について説明できる． コンピュータ・フォレンシクスの概要が説明できる． ログ取得の三つの目的が説明できる． 文書と記録，バックアップとアーカイブの差が説明できる．

9. 情報セキュリティガバナンス

9.1 実際の組織の取組み

例： サイト利用規約, プライバシー・ポリシー （駒大： + +）
　　 ISO 27001 認証取得大学, プライバシーマーク付与事業者;
情報セキュリティ格付;

9.2 日本版SOX法への対応 (2005), コンプライアンス事業;

9.3 情報セキュリティガバナンス (2009)： 情報セキュリティ報告書 F, R, 10

到達目標： 情報セキュリティガバナンスの定義を知っている． 情報セキュリティ報告書の作成が推奨されていたことを知っている． 情報セキュリティ報告書モデルの存在を知っている． 情報セキュリティ報告書を見たことがある．

10. 情報セキュリティ文化

10.1 従業者 + 教育 の必要性.pdf (PPT)： 現状 (標的型メール訓練 −)

10.2 情報倫理 +： 著作権侵害事件 {12'}

到達目標： 用語“情報セキュリティ文化”を知っている． 用語“従業者”が説明できる． 従業者教育の重要性を知っている． 情報倫理の重要性を知っている．

β. 符号

β.1 符号： データコード

β.2 文字符号： ASCII → ISO 646 → JIS X 0201，
JIS漢字符号（日本における漢字）， 国際符号化文字集合 (UCS)

β.3 不等長符号 +： モールス符号， Ｇコード

β.4 誤り耐性：  検査数字 (チェックディジット＝CD, ISBN)，

ハミング距離， 誤り検出訂正

到達目標： ASCII, ISO 646, JIS X 0201 の関係と差異を知っている． JIS X 0208 と UNICODE, UCS との関係を知っている． 不等長符号があることを知っていて，例が挙げられる． チェックディジットの概要が説明できる． 誤り検出符号と誤り訂正符号の概要が説明できる．

事後知識アンケート A → YeStudy {13'} {12''} → 結果（旧）

成績発表

情報セキュリティ B

シラバス B， KONECO

この色の枠の部分 の講義は簡単にしますが，試験範囲には入ります．きちんと自習してください．

B0. ガイダンス

B0.0 履修順序（戦略デザインコース）

B0.1 自己紹介； この Web ページへのたどり着き方

B0.2 過去の授業評価， 知識の増加量， サンプル問題.pdf , 持込み

B0.3 情報セキュリティ B の目標

• 情報セキュリティを維持するための法律を知っている．
• アクセス制御のしくみが説明できる．
• 暗号による機密性と完全性の維持が説明できる．
• 情報セキュリティ基盤を知っている．

B0.4 参考書

• 『情報セキュリティ読本』五訂版, IPA, 2018.
• 参考図書の紹介
  

B0.5 情報セキュリティマネジメント試験, 試験区分, 過去問題

• 重要： IT パスポート試験 (IP)，基本情報技術者試験 (FE)，情報セキュリティマネジメント試験 (SG)．
• 2013 IT パスポート試験（情報セキュリティに関する出題の強化・拡充）
  
• 2016 国家試験「情報セキュリティマネジメント試験」の創設
  
• 2016 国家資格「情報処理安全確保支援士」の創設

B0.6 シラバスの説明， 成績評価の方法

• 定期試験：  0％
• 平常点： 100％（演習，小テスト，課題，課題授業など）

B0.7 成績発表の方法， 暗号化した成績の発表（旧）， 抜き打ちテスト ♪

B0.75 暗号技術の重要性 （電子投票， 電子署名法）

B0.8 事前知識アンケート B → YeStudy
昨年度の 知識の増加量

B0.9 昼食後に眠くならないようにするには

2.3 機密性と可用性のトレードオフ （復習）

• 例： CAPTCHA, アクセス制御, 暗号.

2.6 リスク管理 （復習）

• 情報管理の手法： 物理的統制，技術的統制，人的統制，法的統制 {1'}

IoT セキュリティ （吉岡「… IoT の衝撃的現状…」 −）
IT業界クイズ2022（セキュリティ：  問題 1, 3） {1} {1''}

到達目標： 授業の進行の概要と，成績評価の方法を知っている．

11. 法律による保護

成文法と権利の導入：（江戸時代）利他的な行動による協調 →（現代）自己の権利の主張，自己負罪拒否特権（憲法38条）

11.0 条文の読み方： 及び・並びに ／ 又は・若しくは + +
法律におけるＩＴ用語（後半） ／（前半）

11.1 情報セキュリティに関する国内法規（総覧）, 未遂

ネットワーク社会の情報倫理（第6章 前編.ppt 後編.ppt）
コンピュータ犯罪の概要 （古い）

11.2 刑法 （全文） 抜粋 （解説）

第234条の二（電子計算機損壊等業務妨害）， 第246条の二（電子計算機使用詐欺）， 第161条の二（電磁的記録 不正作出及び供用）, 第163条の二〜五（支払用カード電磁的記録不正作出等，不正電磁的記録カード所持，支払用カード電磁的記録不正作出準備，未遂罪）， 第168条の二，三（不正指令電磁的記録作成等） ＋， 第258条（公用文書等毀棄），第259条（私用文書等毀棄）
サイバー刑法 ＋ −

11.3 不正アクセス禁止法

11.4 個人情報保護法 2020 改正 ♪

11.5 著作権法 （全文, 学校での複製, 保護期間 +）, 問題 +

オープンソースソフトウェアのライセンス： GFDL, 比較 + {2''}

11.6 サイバーセキュリティ基本法

11.7 その他 関連する主な法律（電波法など＋事例） {2} {2'}

到達目標： 公用文において“及び・並びに ／ 又は・若しくは”の使い分けがあることを知っている． 情報セキュリティに関連する主要な 4 つの法規の名称を示すことができ，それらの概要が説明でき，簡単な事例の違法性が判断できる． それら以外の法律を 2 つ以上挙げることができる． 日本における著作権の保護期間を具体例を用いて正確に示すことができる． OSS のライセンス方式と内容について，基本的な事項（共通部分＋α）を理解している．

12. アクセス制御（access, 物理的，コンピュータ，ネットワーク）

12.0 物理的統制： 警備員，ID カード, 虹彩認識 + −

本人拒否率 と 他人受入率 をともにゼロにすることはできない． （類似： 抜取り検査）

12.1 技術的統制： アクセス制御 ∋ パスワード，ファイアウォール，暗号 など．

12.2 アクセス制御行列（図１）

どの能動体 (subject) から，どの受動体 (object) への，
どのアクセス（読み／書き／実行）が許可されているか．

アクセス制御リスト, +, パーミッション −, + {3'} {3''}

ファイル属性の変更の実習（FFFTP による）．
　　 実習用ページ（学内用） {4'} {4''}

12.3 アクセス制御の代表的な 3 方式（任意，強制，ロールベース） ♪ +

• 2017 WPA2 の脆弱性： 解説, 詳細, 各社の対応

到達目標： 物理的なアクセス制御方式の代表例を知っている． アクセス制御行列の概念が説明できる． アクセス制御リストの方式と機能が説明できる． 用語“ファイルパーミッション”を知っている． アクセス制御の 3 方式（任意，強制，ロールベース）が説明できる．

13. 暗号 - 概要

13.0 情報機関 (intelligence)： HUMINT / SIGINT (ECHELON, PRISM)
アメリカ国家安全保障局 (NSA) が世界35カ国の首脳の通話を傍受 + （スノーデンによる暴露 + ++）
アフガニスタンで銃撃され中村哲医師死亡 + +

13.1 暗号の価値： 解読事実の秘匿 Enigma コヴェントリー爆撃 +

13.2 暗号とは … 暗号理論，暗号系 (cryptosystem)
暗号系と用語 図1 図2 （クリプトン） 概要1 概要2 {5'}

13.4.4 暗号技術を使ってできること（再掲: 概要 5.） {6} {5''}

到達目標： 世界の諜報機関の現状の概要を知っている． 暗号の定義を知っている． 暗号系の基本的な用語が説明できる． 暗号解読の 3 段階の状況が説明できる． 暗号解読の成功を秘匿した例をいくつか知っている． 暗号技術を使って実現できることが 3 つ以上，例を挙げて説明できる．

13.3 共通鍵暗号

13.3.0 共通鍵暗号
暗号を用いている小説

13.3.1 換え字式暗号 {6''}
(1) 単換え字式暗号： “踊る人形”の解読 ("The Cuckoo" ♪). {7} {7'} {7''} {8''}
(2) 多表式暗号 ≒ 複数の単換え字式暗号を周期的に用いる．
　　ビジュネル暗号， 機械式暗号 （パープル暗号）
(3) ビット単位の多表式暗号 → バーナム暗号 +
(4) 綴り字換え字式暗号 → Playfair 暗号

13.3.2 転置式暗号 （← 導入： アナグラム）， 置換による表記 {8'} {9''}

13.3.3 暗号解読
(0) 鍵の総数： 階乗 n ! , 2ⁿ （ n ! ＞ 2ⁿ ）
(1) 単換え字式暗号の解読（文字頻度）
(2) 多表式暗号の解読（周期）
(3) 転置式暗号の解読（連接確率）日本における漢字
(4) 解読不可能な暗号，実例
(5) 暗号解読技術の利用 （ロゼッタ・ストーンの解読, +, −） 外国語

13.3.4 ブロック暗号
利用モード （動画 0:39 ECB - 2:11 CBC - 4:01）
ストリーム暗号 （線形帰還シフトレジスタ LFSR +）

13.3.5 AES (Rijndael) … 現代的な共通鍵暗号
[13章前半のノート].pdf + {9'} {10''}

到達目標： 共通鍵暗号系の概念が説明できる． 単換え字式暗号が，例を挙げて説明できる． 多表式暗号を知っている． 転置式暗号が，例を挙げて説明できる． 具体的な古典的暗号を，(1)単換え字式暗号，(2)多表式暗号，(3)転置式暗号 に分類することができる． (1) と (3) とブロック暗号に属する各暗号方式の鍵の総数が示せる． (1), (2), (3) の暗号化と復号のしかた，および解読のしかたを知っている． ビット演算 XOR（ビットごとの排他的論理和）ができる． 解読不可能な暗号が，例を挙げて説明できる． ブロック暗号の利用モードのうち，ECB, CBC, OFB を知っている． AES の外部仕様（データと鍵のビット数）が説明できる．

13.4 公開鍵暗号

量子コンピューターの開発に成功！ + + +.

原論文： Frank Arute, Kunal Arya, […] John M. Martinis, "Quantum supremacy using a programmable superconducting processor," Nature, vol. 574, pp. 505–510 (2019).
専門家の意見.

13.4.0 公開鍵暗号 ＋
　　公開鍵と秘密鍵との使い分け
　　鍵の必要数

13.4.1 剰余演算 {10'} {11''} べき剰余，フェルマーの小定理

13.4.2 RSA方式 {8} {11'} {12''} （べき乗算の高速化）+

13.4.3 認証 (Authentication)： （署名と花押，歴代首相の花押），
　　 電子署名，印鑑証明と電子署名，+ 署名つきの暗号文.ppt

13.4.4 暗号技術を使ってできること（概要 5.）

13.4.5 ハッシュ関数
[13.4 のノート].pdf 情報処理技術者試験での出題 {12'} {13''}

13.5 一方向性関数

13.6 量子暗号 + 量子情報

到達目標： 公開鍵暗号系の概念が説明できる． 剰余演算での加算と乗算と累乗ができる． RSA 方式の概n要が説明できる． 公開鍵認証系の概念が説明でき，何が実現できるかが示せる． 秘匿と認証において，誰のどの鍵を使うかが区別できる． 署名つきの暗号文の作り方を知っている． 暗号技術を使ってできることの例をいくつか知っている． ハッシュ関数の概要を知っている． 一方向性関数の概念を知っている． 量子暗号を知っている．

14. 暗号プロトコル

14.1 チャレンジ応答プロトコル

14.2 デジタル通貨 ⊃ 暗号通貨 ∋ ビットコイン +

14.3 SSL/TLS {13'}

到達目標： 暗号プロトコルのいくつかを知っている． チャレンジ応答プロトコルの目的と概要を知っている． デジタル通貨の概要を知っている． TLS の概要を知っている．

15. 情報セキュリティ基盤

15.1 公開鍵基盤 (PKI), 認証局 (CA)

公開鍵の認証 +

15.2 情報セキュリティサービス, 登録制度 {14'} {14''}

到達目標： 公開鍵基盤の概要を知っている． 認証局の機能が説明できる． 情報セキュリティサービスのいくつかを知っている．

事後知識アンケート B → YeStudy → 結果

16. 情報セキュリティ評価基準 (Common Criteria)

16.1 JIS X 5070-1 (ISO/IEC 15408-1) “セキュリティ技術 — 情報技術セキュリティの評価基準”

16.2 認証製品リスト +

到達目標： 情報セキュリティ評価基準の概要を知っている． Common Criteria という単語を憶えている．

成績発表

	ひとつ戻る
	西村和夫のページ に行く
2023	昨年度のページ